Veri temizleme işlevine sahip olan ve Linux x86 IoT'yi ve ağ cihazlarını hedef alan, acidPour adlı yeni, yıkıcı bir kötü amaçlı yazılım ortalıkta tespit edildi.
Veri silecekleri, hedeflenen cihazlardaki dosyaları ve verileri silen yıkıcı saldırılar için tasarlanmış bir kötü amaçlı yazılım kategorisidir. Bu tür kötü amaçlı yazılımlar genellikle bir kuruluşun operasyonlarını siyasi nedenlerden dolayı kesintiye uğratmak veya dikkati daha büyük bir saldırıdan uzaklaştırmak için kullanılır.
SentinelLabs'ın güvenlik araştırmacısı Tom Hegel tarafından tespit edilen yeni kötü amaçlı yazılım olan acidPour, acidrain veri silicisinin bir çeşidi olarak değerlendiriliyor.
acidRain, yönlendiriciler ve modemlerdeki dosyaları silmek için tasarlanmış bir veri silme kötü amaçlı yazılımıdır. Kötü amaçlı yazılım, uydu iletişim sağlayıcısı Viasat'a karşı düzenlenen ve Ukrayna ve Avrupa genelinde hizmet kullanılabilirliğini etkileyen bir siber saldırıda kullanıldı.
AsitPour, 16 Mart 2024'te Ukrayna'dan yüklendi ve bu durum, geçmişte AsitRain'in ülkeye karşı kullanılması nedeniyle operatörlerinin takibini zorlaştırıyor.
A X'teki iş parçacığı Yazan: Juan Andrés Guerrero Saade yeni varyant hakkında bazı ayrıntılar veriyor, ancak bunun vahşi doğada herhangi bir saldırıda kullanılıp kullanılmadığı ve hedeflerinin kim olabileceği bilinmiyor.
AsitPour silecek
AsitPour, yerleşik Linux dağıtımlarında yaygın olan belirli dizinleri ve cihaz yollarını hedeflemek gibi, acidRain ile pek çok benzerliğe sahiptir, ancak kod tabanları tahminen %30 oranında örtüşmektedir.
Bu, ya önemli bir evrimi ya da muhtemelen farklı bir kökeni gösterir. Guerrero Saade, farklı bir saldırgan grubunun acidRain'in bazı işlevlerini kopyalamış olmasının pek olası olmadığını söylüyor.
acidPour, giriş/çıkış kontrolü (IOCTL) tabanlı silme mantığını VPNFilter'ın 'dstr' eklentisi ve acidRain ile paylaşıyor, bu da daha önce belgelenen kötü amaçlı tekniklerin devamı veya uyarlanması anlamına geliyor.
Yeni kötü amaçlı yazılım, flash bellek kullanan gömülü sistemlere odaklanıldığını gösteren '/dev/ubiXX' referanslarını içeriyor.
Ayrıca Mantıksal Birim Yönetimi (LVM) ile ilişkili sanal blok aygıtları olan ve '/dev/dm-XX'ye de bir referans vardır. QNAP ve Synology dahil Ağa Bağlı Depolama aygıtları, RAID dizilerini yönetmek için LVM'yi kullanır.
Bu eklemeler, LiquidPour'un, daha spesifik MIPS mimarisini hedefleyen önceki modele göre daha geniş bir cihaz veya sistem yelpazesini hedefleyebileceğini gösteriyor.
SentinelLabs analisti, kötü amaçlı yazılımın karma değerini kamuya açık bir şekilde paylaştı ve hedefler ve dağıtım hacmi şu anda bilinmediği için güvenlik araştırma topluluğunu işbirlikçi analiz ve doğrulamaya katılmaya çağırdı. VirusTotal'da bir örnek bulunabilir.
Bu eklemeler, LiquidPour'un, daha spesifik MIPS mimarisini hedefleyen önceki modele göre daha geniş bir cihaz veya sistem yelpazesini hedefleyebileceğini gösteriyor.
“Bu dikkat edilmesi gereken bir tehdit. Bu varyant daha fazla donanım ve işletim sistemi türünü kapsayan, daha güçlü bir acidRain varyantı olduğu için endişelerim arttı.” Rob Joyce'u uyardıNSA'nın Siber Güvenlik Direktörü.